画面●「Webパスワード」の設定画面例(ANAの情報から引用)
[画像のクリックで拡大表示]

 全日本空輸(ANA)は2014年8月18日、同社が提供するオンラインサービスのユーザー認証を強化することを発表した。現在のパスワードは数字4桁だが、9月4日午前5時からは任意の英数文字8桁以上16桁以下のパスワードを設定できるようにする(画面)。

 2014年3月、ANAのWebサイトが不正アクセスされて、利用者のマイルが詐取された(関連記事:ANAマイレージクラブへの不正ログインで112万マイルが詐取)。原因は、同サイトのパスワードが数字4桁だったためだと考えられる。数字4桁だと、パスワードは1万通りしかない。このため、パスワードを固定してユーザーID(会員番号)を変えながらログインを試行する「逆総当たり攻撃(リバースブルートフォース攻撃)」などを受けやすい。

 事件後同社では、恒久的な対策を検討するとしていた。それが、今回発表されたユーザー認証の強化だと考えられる。同社では、従来の数字4桁のパスワード「AMCパスワード」に代わって、任意のアルファベット(大文字・小文字)と数字で構成する8桁以上16桁以下の「Webパスワード」を導入する。

 2014年12月3日までは移行期間のため、AMCパスワードも利用可能だが、12月4日以降はオンラインサービスではWebパスワードしか使えなくなる。ただし、「ANA予約センター」や「ANAマイレージクラブ・サービスセンター」への問い合わせや、各空港に設置の自動チェックイン機・SKY KIOSKなどでは、AMCパスワードは引き続き必要となる。

[ANAの情報]